「tcp_alloc_wqe_failed」グローバルカウンターの異常な増加を緩和する方法

「tcp_alloc_wqe_failed」グローバルカウンターの異常な増加を緩和する方法

6399
Created On 11/03/23 20:27 PM - Last Modified 12/19/23 05:21 AM


Objective


グローバルカウンターの異常な増加を緩和する tcp_alloc_wqe_failed
カウンタの説明:
このカウンタ tcp_alloc_wqe_failed 、データプレーン(DP)のWQEプールの枯渇が原因で、TCP(Transmission Control Protocol)WQE(Work Queue Entry)の割り当てが失敗した場合に増加します。
この割り当ての失敗は、データプレーン リソースの制約、メモリの制限、ソフトウェアの問題など、さまざまな理由が原因である可能性があります。

Environment


  • 次世代ファイアウォール
  • tcp_alloc_wqe_failed

Procedure


  1. 現在のデータプレーンリソース、特に WQE プールを確認します。 
    > debug dataplane pool statistics
Hardware Pools
[21] Blast Pool : 1024/1024 0x800000040f21d600 0
[22] LWM Pool : 1024/1024 0x800000040f25e900 0
[23] Timer Pool : 4093/4096 0x800000040f29fc00 0
[24] DFA Pool : 4096/4096 0x800000040f6a4800 0
[25] Output Buffer Po : 1024/1024 0x800000040faa9400 0
[26] WQE Pool : 60103/552960 0x800000038b0b1f80 0      <<<<<<<<<
[27] ZIP Pool : 1023/1024 0x800000040fdfe800 0
[28] Dma Cmd Buffers : 1016/1024 0x800000038f440000 0
[29] PKI POOL DFLT : 53246/53248 0x800000038f568800 0
[30] PKO3 AURA : 34926/35506 0x8000000395dbd000 0
[31] SSO AURA : 1794/1890 0x800000039e896000 0
    注: このコマンドは、システムによって使用されているすべてのバッファーの状況とその状況を戻します。
    左側の数字は、 まだ使用可能なバッファーの量を示します。
    右側の数字は合計サイズを示します。
    左側の 数値 が 0 に下がると、バッファーが枯渇します。
  2. CLI を使用して WQE プールの使用状況を追跡します。 
     grep pattern "Work Queue Entries" dp-log dp-monitor.log
    dp-log は、dp-monitor.log の場所と NGFW プラットフォームのタイプに応じて、mp-log、dp0-log、dp1-log、または dp2.log に置き換えることができます。
    1. これは、リソース・リークがある場合、トラフィックが多い時間帯に WQE 使用率が高い場合、または特定のタイプのトラフィックが受信されている場合に、問題を切り分けるのに役立ちます。
    2. [ ACC ] タブを使用して、WQE プールの使用率が高い時間帯にファイアウォールで受信されたトラフィックのタイプを確認します。
    3. 「トラフィック・ログ: モニター>・ログ」> 「トラフィック」タブを使用して、WQE プールの使用率が高い時間帯にファイアウォールで受信したトラフィックのタイプを確認します。
  3. データプレーンのリソース使用量全体を確認し、受信したセッションの数と受信したトラフィックのタイプを監視します。 
    show running resource-monitor
show session info
show system statistics session
    1. VM シリーズのシステム要件が満たされている場合は PA-VM を確認し、NGFW ハードウェア プラットフォームの場合は、必要に応じて大容量のプラットフォームへのアップグレードを検討してください。
  4. ネットワーク トラフィックがネットワーク デバイス間と、マルチ DP プラットフォームのファイアウォール データプレーン間で適切に分散されていることを確認します
  5. ネットワーク トラフィックのフローを最適化して、順序が正しくない TCP パケットとパケットの断片化を減らす (この 2 つは WQE プールの枯渇の主な原因となる可能性があるため)。
  6. ファイアウォールが、優先リリースとして示されている PAN-OS バージョンのいずれかを実行していることを確認します PAN-OS ソフトウェア リリース ガイダンスのサポートを参照してください。
  7. 上記の手順を実行してもファイアウォールでWQE割り当てエラーの問題が引き続き発生する場合は、 ファイアウォールのテクニカルサポートファイルを収集し、パロアルトネットワークスのカスタマーサポートチームに連絡することを検討してください。

Additional Information


ワーク・キュー項目 (WQE)
このデータ構造は非常に重要です。これは作業単位を表し、パケットが CPU コアによってスケジュールおよび処理される方法を決定するための情報が含まれます。
 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000008VkoCAE&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language